Trois prédictions concernant le futur de la norme ISO 37001

, , , ,

Dans un article publié le 13 février dernier sur le site FCPA, Worth MacMurray a fait part des prédictions de trois (3) spécialistes concernant le futur que réserve le monde des affaires et les gouvernements à la norme anti-corruption ISO 37001.

Au cours de sa carrière, M. MacMurray a été conseiller juridique de plusieurs sociétés informatiques publiques, l’un des dirigeants du bureau anti-corruption de PwC et il est maintenant directeur des initiatives de gouvernance et de conformité. Il est certifié PECB en tant que Lead Implementer et Lead Auditor pour la norme ISO 37001.

Vu la pertinence du contenu de l’article de M. MacMurray, vous retrouverez ci-après la traduction de celui-ci. Bonne lecture !

2018 a été une année mouvementée dans le parcours d’adoption d’ISO 37001. La flexibilité de la norme anti-corruption a été démontrée par une variété d’approches d’utilisations pour la première fois (pour ISO 37001) dans les secteurs publics et privés.

L’utilisation par les procureurs brésiliens et danois de la norme ISO 37001 dans les accords de règlement pour des actes de corruption et l’approche d’adoption progressive proposée par l’association coréenne à ses 194 membres fabricants de produits pharmaceutiques et bio-pharmaceutiques sont de bons exemples de la diversité d’utilisation de la norme.

Le Brésil, l’Italie et le Pérou sont en tête de liste en ce qui concerne le nombre d’organisations certifiées ISO 37001. Comme à l’habitude avec l’adoption des normes ISO, les États-Unis ont tardé à reconnaître la valeur de la norme ISO 37001.

À quoi s’attendre concernant l’adoption et l’évolution d’ISO 37001 en 2019 ? 

Cette question a été posée aux cadres supérieurs qui connaissent le mieux le monde des standards de certifications et les organismes de certification accrédités qui auditent partout dans le monde les systèmes de management anti-corruption en vertu de la norme ISO 37001.

Les prévisions des organismes de certification pour cette année ?

  1. Les organisations comprendront mieux la relation symbiotique entre la norme ISO 27001 (systèmes de management de la sécurité de l’information) et l’ISO 37001.

Bruno Samuel, directeur principal, Ventes et marketing, Amérique du Nord pour DNV-GL, souligne la valeur particulière d’ISO 37001 pour les organisations qui ont adopté d’autres normes de système de management ISO. « ISO 37001 utilise la même structure pour la mise en œuvre que certaines autres normes ISO, telles que Systèmes de management de la sécurité de l’information — ISO 27001 ou ISO 9001 — Systèmes de gestion de la qualité.

Cette particularité permet aux organisations d’exploiter facilement le travail effectué dans d’autres domaines et de mettre en œuvre un système de management anti-corruption qui peut englober l’ensemble de l’organisation et s’intégrer à d’autres systèmes de gestion. »

Commentaires : Comme en 2018, de nombreux conseils d’administration d’entreprises américaines accorderont en 2019 la priorité à la conformité dans les deux (2) domaines de la gestion des risques de l’organisation : la lutte contre la corruption et la cybersécurité.

La demande de certification ISO 27001 a considérablement augmenté ces dernières années, en particulier dans les secteurs des marchés publics, de la fabrication, des technologies de l’information et des services professionnels, lesquelles indiquent le niveau de la préparation (preparedness) pour faire face à la cybercriminalité.

Les conseils d’administration (et les équipes de direction) d’entreprises certifiées ISO 27001, ISO 14001 (Systèmes de management environnemental) ou 9001 peuvent utiliser la même structure de système de management pour réviser et gérer les activités anti-corruption en adoptant ISO 37001.

  1. ISO 37001 sera reconnue comme un outil de stabilisation des écosystèmes partenaires

Scott Lane, président d’ETHIC Intelligence, note que « si les organisations peuvent imposer des exigences de certification à leurs partenaires, elles peuvent transférer les coûts (et le temps) associés à la diligence raisonnable de tiers aux tiers eux-mêmes.

Cette approche obligera les tiers à démontrer leur engagement en matière de lutte contre la corruption, comme condition préalable pour travailler avec des organisations réputées. »

David Muil, vice-président du développement commercial mondial, Business Assurance chez Intertek, a ajouté : « Compte tenu de la nature de ce qui se passe dans l’industrie et des pratiques en matière d’atténuation des risques et de protection de la marque, l’engagement en matière d’anti-corruption va devenir une obligation contractuelle pour faire des affaires. L’industrie en est déjà consciente que certains gouvernements dans le monde exigent l’obligation de se conformer à la norme ISO 37001 dans les appels d’offres. »

Commentaires : Pour des raisons coûts et de gestion des risques de corruption, attendez-vous à ce que cette tendance se maintienne en 2019.

Pour les entreprises, cette pratique est particulièrement intéressante surtout celles opérant dans le monde entier et disposant d’un grand nombre de fournisseurs.

Dans le secteur public, cette approche peut également être avantageuse pour les organisations gouvernementales des pays où la corruption est importante en fonction du classement de Transparency International (par exemple, les pays sous-développés disposant d’abondantes ressources en ressources naturelles). Ces organisations gouvernementales pourraient ainsi apporter des améliorations à la gestion de projets grâce à l’engagement des partenaires commerciaux à la norme ISO 37001.

  1. Le secteur public continuera d’influencer de manière créative l’adoption de la norme

Le secteur public mondial a adopté la norme ISO 37001 de manière créative en 2018. Des approches d’implantation dites « douces » ont été utilisées en Indonésie, en Malaisie, à Singapour et au Pérou ; les entités gouvernementales de ces pays ont officiellement reconnu la norme et encouragé son adoption.

Par ailleurs, le Brésil, le Danemark et Singapour ont utilisé des approches plus « rigides » : en exigeant la certification ISO 37001 comme condition de règlement de cas de corruption alléguée.

L’utilisation d’ISO 37001 par les entités gouvernementales situées dans des pays ou des régions présentant un risque de corruption historiquement élevé présente des avantages distincts. Cela leur permet de projeter le pouvoir d’ISO — l’organisme de normalisation le plus respecté dans le monde entier — et son système de management anti-corruption, intégrant à la fois les aspects légaux et les pratiques et procédures exemplaires en matière d’anti-corruption dans le monde.

Et comme l’a souligné l’avocat général d’Alstom certifié ISO 37001, Pierrick Le Goff, dans la publication « Integrity » d’ICC Pays-Bas, « dans une économie mondialisée, la certification ISO 37001 peut fournir un outil normalisé aux organismes publics pour évaluer la qualité des programmes anti-corruption de leurs soumissionnaires ».

Commentaires : Pour des raisons reconnues d ’« avantage de normalisation » — p. ex. efficacité, qualité, économies de coûts, certitude — et sur la lancée de 2018, le secteur public continuera à jouer un rôle important, voire moteur, dans l’évolution de la norme ISO 37001 en 2019 et au-delà.

Au fil du temps, les « suggestions » du secteur public dans certains pays et/ou industries évolueront en « recommandations » avant de devenir finalement des « exigences ».

Comment aider les entreprises délinquantes en matière de corruption

, , , , , ,

Vendredi 8 février, La Presse + publiait l’opinion d’Yves Boisvert concernant le dossier de SNC Lavalin et le lobbying de ses dirigeants auprès du gouvernement canadien pour pouvoir bénéficier des nouvelles dispositions du Code criminel concernant les ententes de réparation (voir notre article sur le sujet).

Je suis en parfait accord avec le propos d’Yves Boisvert concernant le fait que le gouvernement canadien devrait permettre à SNC Lavalin de bénéficier d’une entente de réparation. J’ai de la difficulté à réconcilier les objectifs des dispositions légales des ententes de réparation et la décision des procureurs du ministère fédéral de la Justice de ne pas accorder à SNC Lavalin ce que plusieurs grandes entreprises américaines (Walmart, Microsoft pour ne nommer que celles-là) ont obtenu de ministère de la Justice américain.

Les règles légales qui encadrent ces ententes de réparation sont les suivantes :

  • Accepter la responsabilité de ses méfaits et y mettre fin ;
  • Payer une pénalité financière ;
  • Renoncer à tout avantage tiré de ces méfaits ;
  • Mettre en place ou améliorer les mesures de conformité ;
  • Accorder une réparation aux victimes, y compris les victimes à l’étranger, selon ce qui convient.

Négocier et respecter une entente de réparation ne ressemble en aucun point à bénéficier d’un avantage indu ou d’une mesure complaisante pour les amis du pouvoir!

Ayant fait une carrière de plus de 50 ans dans le domaine de la sécurité publique et privée, je puis vous assurer qu’en ce qui a trait aux entreprises les accusations criminelles sont rarement la meilleure voie pour prévenir le manque d’éthique et la conformité à des pratiques d’affaires saines et transparentes.

Par ailleurs, je suis aussi d’avis que les dirigeants qui sont trouvés coupables de corruption doivent être sanctionnés de manière exemplaire par les tribunaux.

Quel est l’intérêt commun des Canadiens et des Québécois d’affaiblir un fleuron comme SNC Lavalin, au point de le rendre inéligible pendant des années pour des contrats gouvernementaux au Canada et dans le monde ?

Les conséquences sur l’économie du Canada et du Québec en particulier sont néfastes, surtout quand tous les Québécois ont investi dans cette entreprise par le biais de la Caisse de dépôt et placement.

De plus, il faut également prendre en considération qu’aujourd’hui, il existe des mesures internationalement reconnues destinées à prévenir, détecter et traiter la corruption par et dans les entreprises. En octobre 2016, l’ensemble des pays membres de l’Organisation de normes internationales (ISO) dont le Canada fait partie a adopté une norme pour bien encadrer les pratiques de management dans tous types d’organismes, qu’elles soient publiques ou privées.

La norme ISO 37001 « Systèmes de management anti-corruption » établie clairement les exigences que doivent respecter et appliquer les organismes qui souhaitent obtenir une certification en matière d’anti-corruption. La certification est accordée et renouvelée aux organismes après des audits par des auditeurs qualifiés et indépendants.

Plusieurs pays européens, asiatiques et américains ont posé des gestes concrets pour favoriser l’adoption par les entreprises de cette norme. Plus près de nous, le gouvernement du Québec a mis sur pied 5 projets pilotes concernant l’implantation de la norme dans des agences, des ministères et en milieu municipal.

Dans le cas de SNC Lavalin, il n’y a aucun gain collectif à faire tomber l’entreprise. Comme le dit si bien Yves Boisvert « Faire condamner les individus et faire payer l’entreprise sous strictes conditions : ça me semble la solution la plus équitable. »

Quoiqu’en matière de corruption le risque zéro n’existe pas, peu importe la suite des aspects légaux de cette saga, SNC Lavalin doit faire le nécessaire pour obtenir sa certification ISO 37001 pour redonner confiance à ses investisseurs, ses clients et les autorités gouvernementales.

Il n’est pas suffisant d’adopter un code d’éthique, l’entreprise doit se soumettre à des audits indépendants, rigoureux et fréquents pour rebâtir sa réputation.

Anti-corruption – Premiers retours d’expérience

, , , , ,

Dans un article que nous avons publié récemment, nous faisions part de l’adoption par la France d’une loi-cadre visant la corruption. Cette initiative française nous interpelle en raison de l’inspiration des législateurs français qui ont puisé les mesures phares de la Loi Sapin II dans les normes britanniques et américaines lesquelles sont également les principales sources de l’élaboration et l’adoption par les pays membres de la norme ISO 37001:2016.

Rappelons que ces mesures législatives françaises touchent 1600 entreprises qui emploient plus de 500 personnes et réalisent plus de 100 M€ en chiffre d’affaires.

Or, en mars 2018, KPMG France publiait les premiers retours d’expérience sur l’implantation des mesures imposées aux entreprises par cette la Loi Sapin II. Grâce à un sondage mené auprès d’organisations ciblées au cours du dernier trimestre de 2017, il est maintenant possible d’observer, en tenant compte de la réalité des affaires, l’ensemble des défis que représente l’implantation de systèmes de management anti-corruption.

Parmi les éléments révélés par cette analyse, on note les principaux risques de corruption identifiés par les entreprises, à savoir :

  • Les appels d’offres et les relations avec les tiers ;
  • Les conflits d’intérêts ;
  • Les intermédiaires et les « apporteurs d’affaires » ;
  • La politique portant sur les cadeaux et les invitations.

Bien sûr, d’autres risques apparaissent sur le « radar », mais pour les fins de cette étude, seuls ces quatre principaux risques sont rapportés.

D’autre part, les répondants ont identifié trois mesures qu’ils jugent difficiles à mettre en œuvre parmi l’ensemble des mécanismes de gestion anti-corruption imposés par la loi Sapin II. Ces trois mesures sont :

  • La cartographie des risques de corruption
    • Une cartographie des risques prenant la forme d’une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d’exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d’activités et des zones géographiques dans lesquels la société exerce son activité ;[1]
  • Les contrôles comptables
    • Des procédures de contrôles comptables, internes ou externes, destinées à s’assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d’influence. Ces contrôles peuvent être réalisés soit par les services de contrôle comptable et financier propres à la société, soit en ayant recours à un auditeur externe à l’occasion de l’accomplissement des audits de certification de comptes prévus à l’article L. 823-9 du code de commerce ;[2]
  • L’évaluation des partenaires
    • Des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques ;[3]

Ces premiers retours d’expérience sont d’intérêt pour toute entreprise qui envisage l’implantation de systèmes de management anti-corruption (SMAC) car ils permettent de cibler les interventions sur les secteurs et les pratiques vulnérables.

En effet, l’appréciation des risques de corruption dans les processus d’affaires d’un organisme est un élément critique de la mise en œuvre d’un système de management anti-corruption. Il faut utiliser des méthodes d’évaluation qui sont reconnues sans pour autant complexifier à outrance ce processus d’analyse.

Rappelons-nous que nous évaluons les risques de corruption telle qu’elle est définie à la clause 3.3 de ladite norme :

« une offre, une promesse, un don, l’acceptation ou la sollicitation d’un avantage indu de toute valeur (financière ou non financière), directement ou indirectement, indépendamment du ou des lieux, en violation des lois applicables, pour inciter ou récompenser une personne à agir ou à ne pas agir dans le cadre de ses fonctions. »

Selon notre expérience, ce processus peut se réaliser efficacement avec des personnes clés de l’organisme et l’utilisation rigoureuse d’une méthode reconnue. Posez-vous la question suivante : « Si je procédais à l’évaluation des risques avec d’autres employés de mon organisme, est-ce que j’arriverais aux mêmes résultats ? » Si votre réponse est affirmative, c’est donc que la méthode utilisée et la rigueur démontrée étaient adéquates.

Pour ce qui est des contrôles comptables, il est surprenant que le sondage ait révélé certaines difficultés liées à leur mise en œuvre. Encore une fois, si la cartographie des risques est bien faite, l’identification de contrôles financiers pertinents devrait être facilitée.

Il est possible dans ce cas que ce soit plutôt la lourdeur des moyens de contrôle qui soit en cause. Identifier des moyens de contrôle financiers efficaces et efficients (les moins lourds possible) représente un défi qui n’est pas insurmontable.

Enfin, l’évaluation des partenaires est sûrement une tâche délicate et difficile. Cependant il existe des solutions à ce problème. Les engagements anti-corruption (par écrit) des partenaires d’affaires, les clauses contractuelles de retraits en cas d’incidents de corruption, les enquêtes par des firmes externes sont autant de moyens à la disposition des dirigeants d’organismes pour mitiger les risques réputationels associés à des incidents de corruption.

Les résultats de ces premiers retours d’expérience illustrent bien l’importance d’une planification rigoureuse de l’implantation d’un système de management anti-corruption au sein d’un organisme.

La formation adéquate du personnel impliqué dans l’implantation d’un système de management anti-corruption et le recours à un accompagnement professionnel et compétent tout au long du processus menant à la certification sont les deux éléments clés de sa réussite.

 

Article rédigé en collaboration avec Pierre Brien « Lead Implementer » et « Lead Auditor » certifé pour la norme ISO 37001

Source de l’article: https://home.kpmg.com/fr/fr/home/insights/2018/07/loi-sapin-retour-experience.html

[1] Source : http://www.assemblee-nationale.fr/14/ta/ta0830.asp

[2] Source : Idem

[3] Source : Idem

Le rôle de l’État dans la lutte à la corruption : interventionniste ou préventif ?

, , ,

En France, la loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique, dite loi “SAPIN II” a imposé de nouvelles obligations en matière de lutte à la corruption aux entreprises de plus de 500 salariés, réalisant plus de 100 millions d’Euros de chiffre d’affaires. Ainsi, les entreprises doivent désormais prévenir, détecter et corriger les faits de corruption et de trafic d’influence.

Inspirée des normes internationales, des pratiques britanniques et américaines, l’approche française semble résolument interventionniste. En effet, là où d’autres pays comme le Canada avec ses accords de réparation ont opté pour une stratégie d’autodiscipline/sanction/récompense, la France a choisi d’imposer des obligations de prévention et de détection en amont.

Or qui dit interventionnisme dit aussi bureaucratie et reddition de compte supplémentaire. L’alourdissement des processus que ceci entraine ne peut que nuire à la fameuse « agilité en affaires » revendiquée par les entreprises pour faire face à la concurrence.

On peut argumenter que la corruption a pris une telle ampleur dans les relations commerciales que la solution « remède de cheval » est la bonne pour imposer l’électrochoc nécessaire aux entreprises qui ont intégré des pratiques douteuses dans leur modèle d’affaires. Après tout, de telles pratiques privent l’État de revenus légitimes et les marchés d’une concurrence loyale.

Cependant, force est de reconnaître que l’interventionnisme de l’État dans les systèmes de management des entreprises est peu souhaitable et mal avisé. Comme déjà mentionné, il s’agit d’une autre couche d’obligations gouvernementales à gérer. Quand on pense à tous les organismes règlementaires qui ont déjà le pouvoir d’intervenir sur la gestion interne des entreprises, on peine à voir quel serait l’avantage d’en ajouter.

D’autre part, les gouvernements changent et les programmes des partis diffèrent concernant le rôle de l’État dans les affaires d’une entreprise. Cette réalité risque d’amener des changements périodiques en ce qui concerne les obligations de celles-ci dans ses rapports avec les représentants des institutions de l’État. Et ce sans compter le caractère réactif de certains partis politiques soumis aux aléas de l’actualité.

Ainsi, comment agir sur, la culture d’entreprise et les normes de pratiques pour lutter contre la corruption sans nuire à l’économie et sans créer un monstre bureaucratique qui freine l’entrepreneuriat ?

La réponse se trouve en partie dans une approche volontaire basée sur les forces du marché et encadrée par une norme objective, indépendante et reconnue, qui offre un équilibre adéquat entre l’éthique et la saine concurrence.

C’est le propre de la norme internationale anti-corruption ISO 37001, laquelle a pour but avoué de développer au sein d’organismes, une culture anti-corruption. Cette norme pose des exigences en matière d’évaluation des risques de corruption dans les processus d’affaires de l’organisme, d’adoption de politiques, de procédures financières et non financières, de « monitoring » et de suivis périodiques.

L’implantation d’un système de management anti-corruption permet ainsi que prévenir, détecter et traiter les allégations de corruption au sein de l’organisme.

Si l’adhésion à une telle norme est la condition d’entrée sur un marché et que la conformité de l’organisme fait l’objet d’un processus de certification externe, qualifié et accrédité, l’intervention de l’État pourra se limiter à sanctionner les organismes qui sont délinquants ou dont les dirigeants croient qu’« en affaires, la fin justifie les moyens ».

 

Article écrit en collaboration avec Pierre Brien (Implémenteur et Auditeur certifié ISO 37001)

To become certified ISO 37001 or not! That is the question?

, , ,

Vous êtes un décideur en entreprise et vous vous posez cette question pour s’assurer de l’accès de votre entreprise aux marchés privés et publics qui exigeront bientôt la certification ISO 37001: 2016.

À la « lumière » des informations parfois déroutantes qui circulent sur l’évolution de la réglementation concernant l’intégrité des marchés, vous souhaitez prendre la meilleure décision possible pour vous positionner en choisissant un fournisseur de service qui vous accompagnera dans le processus de diagnostique et l’implantation de la norme anti-corruption ISO 37001:2016.

Plusieurs revendeurs se présentent à vous avec un discours rassurant qui garantit (presque) la certification au bout du processus qu’ils proposent.

  • Qu’en est-il vraiment ?
  • Êtes-vous assuré que le produit offert vous ouvrira les portes des marchés qui exigeront la certification ISO 37001 ?
  • Pourrez-vous sans problème utiliser et afficher le sigle ISO sur vos documents et votre publicité après le processus proposé ?
  • La personne ou l’entreprise qui vous propose des services est-elle habilitée à réaliser des audits de certification ?

Les réponses à ces questions et les décisions qui en découlent sont déterminantes pour vous et votre entreprise, car en plus de représenter un investissement important, elles risquent de constituer la base de votre admissibilité à certains marchés publics et privés qui sont en train de se métamorphoser pour répondre aux pressions éthiques qui s’exercent sur eux depuis quelques années.

Il importe donc que votre choix, le moment venu, soit celui qui vous distingue de la concurrence sur la base de la conformité aux exigences des appels d’offres.

Notre objectif ici n’est pas de remettre en question la pertinence ou la qualité des services de revendeurs ou de consultants, mais bien d’adopter une perspective qui aide le dirigeant à prendre la meilleure décision pour l’avenir de son organisme.

Ainsi, il convient de distinguer les services de consultation du processus d’audit proprement dit. D’entrée de jeu, sachez que tout consultant qui est impliqué dans un diagnostic ou une implantation en vertu de la norme ISO 37001 : 2016 ne peut participer ou être impliqué d’une quelconque façon dans un audit de certification.

Il ne peut donc garantir que ses services mènent à une certification. Cela ne signifie pas que l’intervention en consultation soit inutile, car elle aura permis, espérons-le, de définir les secteurs à risques et d’amorcer la planification nécessaire pour cheminer vers la conformité des systèmes.

Le consultant peut émettre un « certificat » attestant que l’organisme a fait l’objet d’une intervention (formation, diagnostic, planification, conseil) visant la mise en place de systèmes de management anti-corruption (SMAC). Ce certificat ne constitue pas une certification ISO et ne saurait être employé à ce titre.

Une fois le système de management anti-corruption implanté et une période de rodage (durée minimale de 3 mois), il sera possible pour l’entreprise de solliciter un audit de certification auprès d’un organisme de certification accrédité par un organisme d’accréditation international indépendant.

Ce processus implique que l’audit soit réalisé par des auditeurs certifiés pour réaliser ces travaux. Les auditeurs ISO 37001 : 2016 certifiés, peu nombreux en Amérique du Nord présentement, sont formés spécifiquement aux techniques d’audit ISO et présentent un profil combinant expérience pertinente et formation conformes aux exigences d’ISO (enquête, juricomptabilité, vérification, audit).

Au terme de l’audit de certification, une recommandation (octroi ou refus de la certification pour non-conformité majeure) est formulée auprès de l’organisme de certification qui détermine si elle accepte ou rejette la recommandation.

C’est donc au terme d’un processus défini rigoureusement par plusieurs normes ISO (17021 et 19011) qu’une entreprise pourra se dire certifiée ISO 37001:2016.

À partir de ce moment, l’entreprise pourra prétendre aux marchés nationaux et internationaux qui exigeront cette certification pour les candidatures aux appels d’offres. De plus, elle pourra s’affranchir de la marque de commerce d’ISO dans sa documentation marketing.

5 mythes concernant les systèmes de management anti-corruption — ISO 37001

, , ,

Au cours de la dernière année, nous avons eu la chance de rencontrer des dirigeants d’organismes gouvernementaux, d’entreprises de services et de multinationales québécoises pour discuter de l’implantation de systèmes de management anti-corruption (SMAC) en vertu de la norme ISO 37001.

Nous avons constaté qu’il existait plusieurs mythes concernant l’implantation et la certification de SMAC. Voici ces mythes et nos réponses.

Mythe numéro 1 : Personne ne cherche la certification des SMAC.

Faux !

Plusieurs organismes, municipalités et entreprises québécoises sont actuellement dans le processus d’implantation de SMAC. Tous ont déjà signifié leur intention d’obtenir la certification et les activités de suivi d’implantation sont planifiées en conséquence.

Dans un cadre plus global, plusieurs entreprises multinationales présentes au Canada sont également dans ce processus, notamment, Walmart, Microsoft, Procter & Gamble pour ne nommer que celles-ci.

Récemment, le ministre délégué à l’Intégrité des marchés publics et des Ressources informationnelles du Québec annonçait 5 projets pilotes au sein de ministères et d’organismes du gouvernement ainsi qu’à la ville de Québec pour la mise en œuvre de SMAC. Lors de la conférence de presse, le ministre a clairement indiqué que les organismes ciblés feraient l’objet d’une démarche de certification en vertu de la norme ISO 37001.

Bien entendu, la mise en œuvre de toutes les exigences de la norme et la préparation de l’audit de certification prennent du temps. Tant qu’ils ne recevront pas officiellement la certification, la plupart des entreprises restent muettes sur le processus. Ils souhaitent ainsi détenir un avantage compétitif dans leur industrie.

Mythe numéro 2 : La certification ISO 37001 n’est qu’un « programme papier » pour se donner bonne conscience.

Faux !

La norme ISO 37001 exige en effet que de nombreux aspects du programme de lutte contre la corruption soient documentés. Cependant, aucun organisme de certification réputé comme PECB ne certifierait une entreprise uniquement avec un programme papier.

L’audit de SMAC requiert des auditeurs qualifiés ayant une expérience en matière de lutte contre la corruption et une connaissance approfondie de la norme ISO 37001.

Les auditeurs effectuent des visites approfondies sur place au siège social d’un organisme, se déplacent dans les bureaux régionaux et internationaux et dans les filiales sur lesquelles l’organisme en question exerce un contrôle sur les opérations.

Ces visites nécessitent des entretiens avec la direction, les chefs de service, les représentants commerciaux, les ressources humaines et les finances.

Les procédures d’audits requises par ISO sont très rigoureuses et reconnues internationalement. Si votre objectif est d’adopter un programme « papier » dans le but de vous donner bonne conscience, la norme ISO 37001 n’est certainement pas pour vous !

Mythe numéro 3 : La certification est impossible à obtenir dans une première tentative parce que le programme doit être parfait pour l’obtenir.

Faux !

Aucun programme de lutte contre la corruption n’est parfait !

Les experts qui ont rédigé la norme ISO 37001 l’ont reconnu, ce qui explique pourquoi la norme ISO 37001 contient des exigences relatives aux actions correctives et à l’amélioration continue du SMAC.

Les organisations peuvent être certifiées ISO 37001, même si le programme comporte de petites imperfections, appelées « non-conformités mineures », à condition qu’elles puissent démontrer lors de leurs audits de surveillance annuels qu’elles s’efforcent de les corriger.

Les auditeurs professionnels sont capables d’user de jugement lors de l’évaluation de la conformité à une exigence de la norme. L’objectif d’un audit de certification n’est pas de trouver des failles à tout prix dans le SMAC, mais de s’assurer que les exigences minimales de la norme sont respectées, que l’engagement de la direction en matière d’anti-corruption est réel et que le SMAC est appelé à s’améliorer dans le futur.

Mythe numéro 4 : La certification ISO 37001 confère une immunité aux poursuites éventuelles en matière de corruption.

Faux !

Si c’était vrai, tous les organismes le feraient ! Il n’y a pas de solution miracle pour garantir qu’une organisation ne sera pas poursuivie pour violation des lois sur la corruption. Il n’y a pas non plus de système de management pouvant garantir qu’un cas de corruption ne se produira pas dans votre organisation.

 

Un SMAC bien appliqué permet de prévenir, détecter et traiter la corruption. Il est raisonnable de croire qu’un organisme qui découvre un stratagème de corruption dans ses processus d’affaires et qui en fait part rapidement aux autorités pertinentes pourra invoquer la collaboration et la transparence dans les interventions à venir. Cela étant dit, la certification ISO 37001 constitue un puissant facteur d’atténuation pour une organisation en cas d’action gouvernementale.

Mythe numéro 5 : Les organismes d’application des lois ne se soucient pas de la certification ISO 37001.

Faux !

L’Unité permanente anti-corruption (UPAC) s’est inspirée de la norme ISO 37001 pour élaborer des stratégies de prévention et d’évaluation des risques qu’elles offrent aux municipalités et aux organismes gouvernementaux qui en font la demande.

Au printemps 2018, le gouvernement canadien a apporté des modifications au Code criminel du Canada qui aura pour effet de permettre aux entreprises de convenir d’« ententes de réparation » avec les procureurs du gouvernement en matière de corruption. Ce nouveau régime d’intégrité pour les entreprises qui entre en vigueur en janvier 2019 est comparable aux régimes d’« accords de poursuite suspendue » qui existe aux États-Unis et au Royaume-Uni depuis plusieurs années.

L’un des objectifs de ce nouveau régime d’intégrité est justement d’amener les entreprises fautives à adopter des mesures pour prévenir, détecter et traiter la corruption.

Le respect des exigences de la norme ISO 37001 permet l’adoption d’un SMAC qui permet d’atteindre les objectifs du nouveau régime fédéral.

Bien que le ministère de la Justice n’ait publié aucune déclaration officielle sur la norme ISO 37001, divers responsables s’exprimant à titre privé ont exprimé leur soutien à la norme et aux objectifs qu’elle cherche à atteindre.

Pour les entreprises qui cherchent à respecter les meilleures pratiques mondiales en matière de lutte contre la corruption et qui désirent obtenir une reconnaissance internationale, ISO 37001 est le modèle à suivre !

C’est un fait, pas un mythe !

ISO 37001:2016 – Auditeurs certifiés ou Auditeurs de certification ?

, , , ,

Il existe une certaine confusion concernant la classification d’auditeurs de systèmes de management élaborés en fonction de normes ISO, dont la norme 37001:2016 traitant de l’anti-corruption.

Cet article a pour but de clarifier le tout en fonction des principes de gouvernance de PECB, un organisme de certification reconnu mondialement.

Dans un premier temps, notons le fait que toute personne peut suivre une formation d’auditeur pour la norme ISO 37001:2016, laquelle établit les exigences des systèmes de management anti-corruption. Pour obtenir une certification, à la fin de la formation le candidat doit réussir un examen et ensuite soumettre sa candidature pour obtenir son certificat d’auditeur de systèmes de management anti-corruption ISO 37001:2016.

À la conclusion du processus d’évaluation des candidatures, quatre (4) statuts d’auditeurs sont offerts par PECB, selon l’expérience démontrée :

  1. Auditeur provisoire (0 à 200 heures d’expérience liée à l’audit de normes)
  2. Auditeur (200 à 300 heures d’expérience liée à l’audit de normes)
  3. Auditeur principal — Lead Auditor (300 à 1000 heures d’expérience liée à l’audit de normes)
  4. Auditeur principal senior — Senior Lead Auditor (Plus de 1000 heures d’expérience liée à l’audit de normes)

Les détenteurs des statuts d’auditeurs provisoires ou d’auditeurs peuvent participer ou diriger des audits internes dans des organismes ou agir comme consultants auprès de ceux-ci.

Seules les personnes détenant les statuts d’auditeur principal ou d’auditeur principal senior ayant plus de cinq (5) années d’expérience professionnelle dans les domaines tels : les enquêtes, la juricomptabilité, l’éthique ou des domaines connexes, peuvent devenir des auditeurs de certification en réussissant le cours de « Techniques avancées d’audit ».

La formation de « Techniques avancées d’audit » porte sur les exigences de la norme 19011:2018 qui établit les lignes directrices pour les audits de certification des systèmes de management conçus en fonction de normes précises telles ISO 9001 (Qualité), ISO 14000 (Environnement), OHSAS 18001 (Santé et sécurité au travail), ISO 27001 (Sécurité de l’information) ISO 37001 (anti-corruption), etc.

L’audit de systèmes de management anti-corruption (SMAC)

En plus de ce qui précède, la norme ISO 17021-9:2016 contient des exigences particulières de compétences pour les audits et la certification des SMAC. Cette norme précise que : « tout le personnel dans un audit de SMAC doit avoir un niveau de compétence incluant les compétences décrites dans ISO 17021, comprendre les exigences de la norme ISO 37001 et la relation entre ces exigences, et avoir les connaissances relatives au SMAC ».

La norme 17021-9 exige entre autres que l’auditeur de SMAC soit aussi familiarisé avec les scénarios de corruption (clause 5.2.3), notamment :

  • Le personnel, le recrutement, l’embauche et la rémunération
  • Les activités commerciales
  • Les déplacements, les cadeaux et les marques d’hospitalité
  • Les dons et le mécénat
  • Les achats et les contrats
  • Les ventes et le marketing
  • La fabrication et la chaîne d’approvisionnement
  • Les processus externalisés
  • Les fusions et les acquisitions

De plus, les auditeurs de certification doivent connaître les indicateurs de corruption (clause 5.2.4) et les moyens de contrôle utilisés pour prévenir, détecter et lutter contre la corruption ainsi que les conséquences de leur absence (clause 5.2.5).

Plusieurs autres exigences pour les auditeurs de certification de SMAC sont formulées dans la norme 17021-9 comme la connaissance des lois et règlements applicables à la corruption, les notions d’évaluation de risques, les diligences raisonnables et les risques associés aux partenariats commerciaux.

En résumé, la distinction entre les auditeurs certifiés ISO 37001 et les auditeurs de certification de systèmes de management est importante. Cette dernière catégorie d’auditeurs permet à ses membres de procéder à des audits et de faire des recommandations à un organisme de certification relativement à l’octroi ou non d’une certification ISO 37001:2016 à l’organisme audité.

Au-delà de l’obtention du statut d’auditeur en vertu de la norme ISO 37001:2016, les compétences, l’expertise et l’expérience de l’auditeur doivent être reconnues par un organisme de certification comme PECB en conformité avec les normes ISO 17021:2016 et 19011:2018.

En conclusion, il est important pour un organisme qui désire faire certifier son système de management anti-corruption de communiquer avec un organisme de certification comme PECB pour obtenir les services d’auditeurs de certification reconnus.

Pourquoi une formation « ISO 37001 Lead Implementer » ?

, , ,

Cette question sur la formation “ISO 37001 Lead Implementer” nous est souvent posée par les dirigeants d’organismes qui s’intéressent à la mise en œuvre d’un système de management anti-corruption (SMAC).

Il y a plusieurs très bonnes raisons qui justifient de suivre cette formation. Dans le présent article, je vous vous présenter les principales.

Comprendre les enjeux et l’étendue d’un SMAC

Le contenu de la formation permet à des représentants d’organismes de bien comprendre les enjeux organisationnels de la mise en œuvre d’un SMAC ainsi que les risques inhérents à celle-ci.

En fait, les objectifs de la formation sont de deux (2) ordres, les objectifs de connaissances et les objectifs de compétences.

Objectifs de connaissances :

  1. Expliquer les éléments et le fonctionnement d’un SMAC ainsi que ses principaux processus ;
  2. Comprendre le but, le contenu et la corrélation de la norme ISO 37001 avec d’autres normes et d’autres cadres réglementaires ;
  3. Maîtriser les concepts, les approches, les normes, les méthodes et les techniques permettant la mise en œuvre et la gestion efficace d’un SMAC.

Objectifs de compétences :

  1. Savoir interpréter les exigences d’ISO 37001 dans le contexte spécifique d’une organisation ;
  2. Acquérir une expertise pour accompagner une organisation à planifier, mettre en œuvre, à gérer, à contrôler et à maintenir un SMAC tel que spécifié dans ISO 37001 ;
  3. Acquérir une expertise pour conseiller une organisation sur les meilleures pratiques en management anti-corruption ;
  4. Renforcer les qualités personnelles nécessaires pour agir avec toute la conscience professionnelle requise pendant la conduite d’un projet de conformité.

Donc, une fois cette formation réussie, le participant est en mesure de bien éclairer et de bien répondre aux questions soulevées par les dirigeants de son organisme dans la décision d’implanter ou non un SMAC.

Planifier et réaliser la mise en œuvre

Comme indiqué plus haut, le contenu de la formation ne se limite pas à une énumération des prérequis de la norme ISO 37001 ou des conseils stratégiques sur l’approche à privilégier dans la mise en œuvre.

La formation propose une méthodologie détaillée de mise en œuvre. Le contenu de la formation va plus loin que le pourquoi et quoi faire, mais elle s’adresse plus particulièrement au comment mettre en œuvre un cadre de conformité conforme à la norme ISO 37001.

En conséquence, la réussite de la formation permet au candidat de participer activement à la planification et la mise en œuvre d’un SMAC, dès la fin de la formation.

Formation certifiable

La session de formation se conclut par un examen de trois (3) heures portant sur les sujets suivants :

  • Principes fondamentaux du management anti-corruption ;
  • Système de management anti-corruption ;
  • Planification d’un SMAC selon ISO 37001 ;
  • Mise en œuvre d’un SMAC selon ladite norme ;
  • Évaluation de la performance, de la surveillance et du mesurage d’un SMAC ;
  • Amélioration continue d’un SMAC ;
  • Préparation à l’audit de certification.

La réussite de l’examen constitue la première étape dans le processus d’obtention de la certification « PECB ISO 37001 Lead Implementer ». Les autres étapes sont complétées en ligne sur le site de PECB selon une procédure qui est transmise au candidat avec le résultat de son examen.

Pourquoi Gestion Jean Bourdeau inc.?

Nous offrons ladite formation certifiée selon un calendrier qui répond à la demande des organismes intéressés. Toutefois, il est possible d’offrir cette formation au sein d’un organisme si le nombre de participants est suffisant (5 ou plus).

Suivre la formation « PECB ISO 37001 Lead Implementer » avec les formateurs certifiés de Gestion Jean Bourdeau inc., comporte également des avantages importants :

  • Nos formateurs possèdent une expérience et une expertise reconnue dans les enquêtes portant sur la corruption et la collusion ;
  • Nos formateurs possèdent beaucoup d’expérience en management ayant eux-mêmes été dans des postes de haute direction dans des organisations et ils possèdent une expertise reconnue dans la gestion de projets ;
  • Nos formateurs sont également certifiés « PECB ISO 37001 Lead Auditor » ce qui leur permet de bien orienter les participants quant à l’interprétation des exigences de la norme ainsi que les procédures d’audits qui s’y rattachent ;
  • Nous avons développé des outils de travail et de suivi d’implantation qui sont performants. En conséquence, nous partageons notre expertise et nos expériences tout au cours de la formation, ce qui constitue un avantage indéniable pour les participants ;
  • Enfin, nous offrons les formations dans un environnement agréable et facilitant pour les candidats. Nos bureaux situés au Complexe Dix30 à Brossard sont des plus modernes et tous les outils pédagogiques modernes y sont disponibles.

Consultez notre calendrier de formations et si vous êtes intéressés, n’hésitez surtout pas à communiquer avec nous.

Quel gâchis!

,

Dans sa chronique de La Presse+ de ce jeudi 3 mai, Yves Boisvert fait écho au sentiment général des citoyens face au constat d’échec et à la perte de crédibilité en nos institutions de lutte à la corruption suite à l’acquittement des accusés dans le dossier du Faubourg Contrecœur.

Malgré l’apparence d’illogisme d’une telle décision par le juge Poulin de la Cour du Québec, il est essentiel de se rappeler que l’acquittement des accusés dans cette affaire n’évacue pas les faits que la corruption et la collusion ont été centrales dans l’attribution de contrats en marge de ce projet. Il faut surtout retenir que les avocats de la Couronne avait l’obligation de prouver, hors de tout doute raisonnable, que les accusés étaient directement impliqués dans les stratagèmes, ce qui ne semble pas avoir été réalisé à la satisfaction du magistrat.

L’expérience dans les enquêtes de corruption et de collusion démontre que ce sont des enquêtes très difficiles à conduire parce qu’il est rare que les enquêteurs puissent avoir accès à une source interne qui est au fait de tous les aspects des stratagèmes mis en place par les délinquants. De plus, comme dans le cas du procès relativement au Faubourg Contrecœur, même si les policiers ont accès à des informations privilégiées, ils doivent réussir à corroborer par des documents ou d’autres témoins les faits allégués. À la fin, une bonne partie de la preuve repose sur la crédibilité accordée par le magistrat aux déclarations du témoin repenti, ce qui est loin d’être un gage de succès.

Quelles leçons pouvons-nous tirer de cet échec ?

En premier lieu, il faut se questionner sur comment de tels stratagèmes de corruption et de collusion peuvent s’articuler sur de si longues périodes sans que les organismes de gouvernance n’aient pu observer des comportements douteux.

Ensuite, il faut apprendre des erreurs passées et mettre en place des moyens de suivis et des contrôles pour détecter rapidement les écarts, prendre des mesures proportionnelles et traiter la corruption.

Ils existent des pratiques reconnues mondialement en matière de contrôles financiers, d’attribution de contrats, de gestion des projets, d’audits de surveillance et de revues de gestion. Pourquoi ne sont-elles pas appliquées avec rigueur et compétences ? Voilà la vraie question !

Depuis le 15 octobre 2016, une norme a été adoptée par l’Organisation de standardisation internationale (ISO) pour faire échec à la corruption dans nos organisations, qu’elles soient publiques, privées ou sans but lucratif. Il s’agit de la norme ISO 37001 — Systèmes de management anti-corruption.

Cette norme se fonde sur l’expérience des pays industrialisés dans la lutte à la corruption et elle a été adoptée par 163 pays. Elle reprend sous la forme d’un système de management, les pratiques exemplaires de contrôles financiers et non financiers, l’encadrement éthique des processus d’affaires des organisations et les mesures reconnues de dénonciations et d’enquêtes.

Le contenu de la norme mise davantage sur une approche préventive, basée sur la sensibilisation des cadres et des employés aux méfaits de la corruption et l’adoption de mesures efficaces et proportionnelles aux risques identifiés de corruption.

Même si l’implantation de la norme ISO 37001 n’élimine pas les risques de corruption dans les organisations, si les exigences de celle-ci sont appliquées avec rigueur et sérieux, elle sera détectée rapidement et traitée adéquatement.

Face au gâchis du Faubourg Contrecœur, il est clair qu’une once de prévention vaut plus qu’une livre de répression. Implanter la norme ISO 37001 dans une organisation nécessite un engagement ferme de la haute direction et un budget correspondant à l’envergure de celle-ci.

Comparés aux millions engloutis dans l’enquête policière et au procès contre les accusés dans le Faubourg Contrecœur, les coûts d’implantation de la norme ISO 37001 sont insignifiants.

SNC -Lavalin – Accord de réparation – ISO 37001

, ,

Quels liens peut-on faire entre SNC-Lavalin, un régime d’accord de réparation et la norme anti-corruption ISO 37001 ?

Mardi 27 mars 2018, le Gouvernement canadien annonçait par voie de communiqué qu’il mettrait en place un régime d’accord sur la suspension des poursuites (APS) contre les entreprises accusées de fraude et de corruption. Dans le communiqué du ministère de la Justice Canada, il est question d’« accords et arrêtés de réparation » pour remédier au crime d’entreprise.

Selon l’article de La Presse parue le 29 mars 2018, il s’agit « d’un processus qui permet aux organisations admissibles responsables de leurs inconduites, tout en protégeant les parties innocentes, notamment les employés et les actionnaires, des conséquences négatives d’une condamnation criminelle de l’organisation. »

Ainsi un nouvel outil appelé « Accord de réparation » a été intégré au Code criminel canadien pour permettre aux procureurs de la Couronne d’avoir un outil supplémentaire à leur disposition pour traiter de crimes de fraudes et de corruption par les entreprises.

Ce n’est un secret pour personne que SNC-Lavalin souhaitait depuis plusieurs années pouvoir recourir à un tel accord, afin de contrer les effets négatifs sur la compétitivité de l’entreprise au Canada et dans le monde. D’ailleurs, l’entreprise jouit déjà d’un traitement particulier en pouvant continuer à soumissionner pour des contrats gouvernementaux au Canada malgré les poursuites déposées par le ministère de la Justice.

On peut probablement faire la démonstration que cette mesure ne favorisera que les grandes entreprises qui ont de bons lobbyistes à leur service. Mais ce serait nier une réalité des affaires qui dépasse largement les frontières canadiennes. Quoique des outils similaires soient largement utilisés aux États-Unis, le modèle américain est très permissif et le pouvoir discrétionnaire des procureurs est quasi absolu.

En 2013, le Royaume-Uni a adopté un processus d’APS et celui-ci est soumis à l’approbation des tribunaux. Le modèle canadien semble être plus près du modèle britannique qu’américain, ce qui est une bonne chose en soi.

À cette équation il faut ajouter l’adoption par 163 pays membres d’ISO de la norme 37001 en 2016, laquelle établit les exigences des systèmes de management anti-corruption (SMAC). Les entreprises ont maintenant à leurs dispositions un outil reconnu internationalement pour mettre en place des politiques et des procédures qui leur permettent de prévenir, détecter et traiter la corruption.

Moderniser nos processus judiciaires pour tenir compte des tendances mondiales en matière de prévention, de détection et de traitement de la corruption ne peut qu’être bénéfique pour nos entreprises canadiennes qui doivent compétitionner sur la scène mondiale avec des fournisseurs qui ont accès à de tels accords dans leurs pays respectifs.

D’ailleurs, un tel accord de réparation ne peut être possible que si les conditions suivantes sont présentes[1] :

  • Accepter la responsabilité de ses méfaits et y mettre fin ;
  • Payer une pénalité financière ;
  • Renoncer à tout avantage tiré de ces méfaits ;
  • Mettre en place ou améliorer les mesures de conformité ;
  • Accorder une réparation aux victimes, y compris les victimes à l’étranger, selon ce qui convient.

De plus pour assurer la transparence du processus, le contenu de l’accord final sera approuvé par les tribunaux et donc en grande partie accessible aux parties intéressées et aux médias.

Les poursuivants et les entreprises fautives devraient favoriser l’implantation de systèmes de management anti-corruption tel que défini par la norme ISO 37001 : 2016.

Exiger, comme semble être la tendance aux États-Unis, que les entreprises fautives obtiennent la certification ISO 37001 : 2016 est un complément naturel aux accords de réparation.

En effet, l’obtention de la certification oblige les entreprises à implanter le processus selon les exigences de la norme en plus de procéder à un audit de certification par un organisme de certification externe.

Par la suite, des audits de surveillance annuels sont obligatoires et des audits de recertification doivent être réalisés tous les trois ans. L’implantation de la norme ISO 37001 : 2016 assure donc que les entreprises fautives modifient à long terme leur culture interne et leurs pratiques d’affaires, au-delà de la durée de l’accord de réparation.

La suspension ou le retrait de la certification d’une entreprise par l’organisme de certification porte son lot de conséquences négatives pour la réputation de l’entreprise parce que ces décisions sont rendues publiques par la voie des médias.

En conclusion, quoique nous soyons tous pour la vertu, il faut être réalistes dans nos objectifs de châtiment envers les entreprises qui confondent « pratiques commerciales et corruption », et utiliser des moyens et des outils modernes pour limiter les impacts négatifs pour les employés, les investisseurs et les actionnaires qui sont souvent d’innocentes victimes dans ces situations.

[1] Voir communiqué du 28 mars 2018 – Ministère de la Justice Canada